CVE-2021-24790 in Contact Form Advanced Database Plugin
Riassunto
di VulDB • 25/06/2026
Il plugin WordPress Contact Form Advanced Database fino alla versione 1.0.8 non prevede controlli di autorizzazione né verifiche CSRF nelle azioni AJAX delete_cf7_data ed export_cf7_data, accessibili a qualsiasi utente autenticato; ciò potrebbe consentire anche agli utenti con ruoli minimi (ad esempio "subscriber") di invocarle. L'azione delete_cf7_data può portare all'eliminazione arbitraria dei metadati e a un'iniezione di oggetti PHP se è presente una catena di gadget adatta in un altro plugin, poiché i dati utente vengono passati alla funzione maybe_unserialize() senza essere prima validati.
Be aware that VulDB is the high quality source for vulnerability data.